【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用 (附eNSP源文件) |
您所在的位置:网站首页 › ensp校园网络拓扑结构图 › 【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用 (附eNSP源文件) |
【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用 (附eNSP源文件)
|
【eNSP 华为模拟器】小型校园网模拟环境的设计与配置(2)ACL的应用
一、实验概述 二、交换机的配置 2.1 二层交换机的配置 2.2 三层交换机的配置
三、路由器的配置(OSPF和ACL配置) 四、实验结果 五、实验总结 六、补充
eNSP源文件:
eNSP工程文件下载链接
通过上面的地址下载,需要积分(可以去某宝找csdn代下。
一、实验概述
按照以下的拓扑连接,自行设计VLAN和IP地址等网络参数,实现PC1到PC2的IP通信。其中,R1,R2为路由器;LSW1,LSW4为3层交换机;LSW2,LSW3 ,LSW6, LSW7为2层交换机;CLIENT1-CLIENT12为PC机。 拓扑图 实验环境 二层交换机上配置过程的思想:以二层交换机LSW7为例,其他二层交换机的配置同理。需要要在LSW7上划分VALN。首先,进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300,将e0/0/1口、e0/0/2口、e0/0/3口一起设置为access模式并依次分给VLAN100、VLAN200、VLAN300。然后,将二层交换机出口e0/0/4口设置为trunk模式,并允许所有的vlan通过。 二层交换机的配置命令如下: sys [Switch7]undo info-center enable //关闭消息提示 [Switch7]vlan batch 100 200 300 Info: This operation may take a few seconds. Please wait for a moment...done. [Switch7]interface Ethernet0/0/1 [Switch7-Ethernet0/0/1]port link-type access [Switch7-Ethernet0/0/1]port default vlan 100 [Switch7]interface Ethernet0/0/2 [Switch7-Ethernet0/0/2]port link-type access [Switch7-Ethernet0/0/2]port default vlan 200 [Switch7]interface Ethernet0/0/3 [Switch7-Ethernet0/0/3]port link-type access [Switch7-Ethernet0/0/3]port default vlan 300 [Switch7]interface Ethernet0/0/4 [Switch7-Ethernet0/0/4]port link-type trunk [Switch7-Ethernet0/0/4]port trunk allow-pass vlan all 2.2 三层交换机的配置三层交换机上配置过程的思想:以三层交换机LSW2为例,其他三层交换机的配置同理。首先,需要要在LSW2上划分VALN;进入交换机的全局配置模式,建立VLAN100、VLAN200、VLAN300;依次进入VLAN内部配置VLAN的IP地址为VLAN所在的网段。然后,将三层交换机与二层交换机之间的接口g0/0/1和g0/0/2设置为trunk模式,并允许所有的vlan通过。为了给g0/0/3配置一个IP地址,先创建一个VLAN10,分配给g0/0/03,设置模式为access,然后给Vlan10配置IP地址。接着,为三层交换机开启OSPF路由,建立一个区域0,宣告网络。 三层交换机的配置命令如下: sys [Switch2]undo info-center enable //关闭消息提示 [Switch2]vlan batch 100 200 300 Info: This operation may take a few seconds. Please wait for a moment...done. [Switch2]int vlanif 100 [Switch2-Vlanif100]ip address 192.168.10.1 24 [Switch2]int vlanif 200 [Switch2-Vlanif200]ip address 192.168.20.1 24 [Switch2]int vlanif 300 [Switch2-Vlanif300]ip address 192.168.30.1 24 [Switch2]int g0/0/1 [Switch2-GigabitEthernet0/0/1]port link-type trunk [Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all [Switch2]int g0/0/2 [Switch2-GigabitEthernet0/0/2]port link-type trunk [Switch2-GigabitEthernet0/0/1]port trunk allow-pass vlan all [Switch2]vlan 10 [Switch2]int g0/0/3 [Switch2- GigabitEthernet 0/0/3]port link-type access [Switch2 GigabitEthernet 0/0/3]port default vlan 10 [Switch2]int vlanif 10 [Switch2-lanif10]ip address 172.16.3.1 24 [Switch2]ospf [Switch2-ospf-1]area 0 [Switch2-ospf-1-area-0.0.0.0] network 192.168.10.0 0.0.0.255 [Switch2-ospf-1-area-0.0.0.0] network 192.168.20.0 0.0.0.255 [Switch2-ospf-1-area-0.0.0.0] network 192.168.30.0 0.0.0.255 [Switch2-ospf-1-area-0.0.0.0] network 172.16.3.0 0.0.0.255 三、路由器的配置(OSPF和ACL配置)路由器上配置过程的思想:以路由器R2为例,其他路由器的配置同理。首先,需要给e0/0/0口和s0/0/0口配置IP地址;然后启动ospf协议,并宣告网络。然后在路由器与三层交换机的接口GE0/0/0上配置高级ACL(访问控制列表)。 R2路由器的配置命令如下 [R2]int e0/0/0 [R2-Ethernet0/0/0]ip address 172.16.3.2 [R2-Ethernet0/0/0]int s0/0/0 [R2-Serial0/0/0]ip address 172.16.2.2 24 [R2]ospf [R2-ospf-1]area 0 [R2-ospf-1-area-0.0.0.0]network 172.16.3.0 0.0.0.255 [R2-ospf-1-area-0.0.0.0]network 172.16.2.0 0.0.0.255 [R2]acl 3001 [R2-acl-adv-3001]rule 5 deny tcp source 192.168.10.0 0.0.0.255 destination 192.1 68.50.22 0 destination-port eq 21 [R2-acl-adv-3001]rule 10 deny tcp source 192.168.30.0 0.0.0.255 destination 192. 168.50.22 0 destination-port eq 21 [R2-acl-adv-3001]rule 15 permit tcp source 192.168.20.0 0.0.0.255 destination 19 2.168.50.22 0 destination-port eq 21 [R2-acl-adv-3001]q [R2]int g0/0/0 [R2-GigabitEthernet0/0/0]traffic-filter inbound acl 3001R1路由器的配置命令如下 # interface g0/0/2 ip address 10.1.4.2 255.255.255.0 interface g0/0/1 ip address 10.1.12.1 255.255.255.0 # # ospf 1 router-id 255.1.1.1 area 0.0.0.0 network 10.1.4.0 0.0.0.255 network 10.1.12.0 0.0.0.255 # # acl number 3001 rule 5 deny tcp source 192.168.4.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www rule 10 deny tcp source 192.168.6.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www rule 15 permit tcp source 192.168.5.0 0.0.0.255 destination 192.168.30.33 0 destination-port eq www # # interface GigabitGigabitEthernet0/0/2 traffic-filter inbound acl 3001 # 四、实验结果经过上述的配置,跨交换机路由器的校园网模拟环境的设计与配置就已经完成了。 以下是IP通信的截图 Vlan100尝试访问FTP服务器失败,如下图。 自此,通信验证完毕。 五、实验总结在本次实验中,我用了高级ACL,来检查数据包的源地址,也检查数据包的目的地址,同时还可以检查数据包的特定协议类型、端口号,从而实现了对某种访问进行控制;信息点间通信,内外网络的通信都是企业网络中必不可少的业务需求,但是为了保证内网的安全性。这次实验使我更加深入理解ACL的设计与配置。 六、补充问题一:当我们设置好ACL并将ACL配置到接口上的时候,该如何删除ACL呢?首先需要在接口上把ACL给删除,然后在系统视图下删除ACL。 华骑小技巧:进入接口配置模式,输入disp this,看看配置的哪条命令,然后在前面加undo。 下图举例 问题二:两台路由器被要求使用广域网接口S口连接,而大多数ensp里的路由器都没有S口怎么办? 答:S口是一个组件,需要在路由器关机状态下,右键路由器,按设置,即可进入到一个路由器实体的页面。在这里,我们将手动为路由器添加一个含有广域网接口S口的组件即可。下图示例 参考文献: eNSP华为模拟器使用——(3)eNSP模拟FTP服务器 eNSP华为模拟器使用——(4)eNSP模拟HTTP服务器 ensp中的ACL 标准ACL与扩展ACL有什么区别? |
课程设计要求: 
要求: (1)按照拓扑连接好,并配置VLAN端口划分,然后配置TRUNK参数,最后配置3层交换机的路由端口,以及路由器的各个端口参数,能够确保VLAN间通信节点通信的顺利进行。 (2)可应用策略路由、或者访问控制列表ACL,完成以下的访问控制要求:假定在CLIENT3计算机上装载WEB服务器程序,提供WEB网页访问服务。在CLIENT11计算机上加载FTP服务器程序,提供FTP文件上下载服务。 CLIENT1 —CLIENT6 可访问WEB服务器 CLIENT7----CLIENT12可访问FTP服务器 VLAN200 可访问FTP服务器,VLAN100,VLAN300不可访问FTP服务器。VLAN500 可访问WEB服务器,VLAN400,VLAN600不可访问WEB服务器。请配置正确的ACL,并放置在合理的位置。
依据实验要求,计划设置八个VLAN,分别是: 
VLAN10(LSW1) 和VLAN10(LSW2)创建的原因:需要给两个三层交换机的出口配置IP地址,但由于交换机的端口不能直接设置IP地址,只能将交换机端口划入vlan,然后给这个vlan interface 设置IP地址。
Vlan200中的Client5访问FTP服务器成功,并成功下载到FTP服务器的文件。 
Vlan400 500 600 访问WEB服务器的结果,其中VLAN 400内的Client7和VLAN 600内的Client9都访问失败,只有VLAN 500内的Client8访问成功,如下图所示。 
Vlan100 200 300 访问WEB服务器的结果,全部都访问成功,如下图所示。 
Vlan400 500 600访问WEB服务器的结果,全部都访问成功,如下图所示。 
从接口上删除ACL后,只需在系统视图下用undo acl acl-id 即可。
【本文地址】
今日新闻 |
推荐新闻 |